Välj hur du vill tillåta åtkomst till blobdata i Azure Portal

  • Artikel
  • 4 minuter för att läsa

När du använder blobdata med hjälp Azure Portal, gör portalen begäranden Azure Storage under omslaget. En begäran om Azure Storage kan auktoriseras med antingen ditt Azure AD-konto eller lagringskontots åtkomstnyckel. Portalen anger vilken metod du använder och gör att du kan växla mellan de två om du har rätt behörigheter.

Du kan också ange hur du ska auktorisera en enskild blobuppladdningsåtgärd i Azure Portal. Som standard använder portalen den metod som du redan använder för att auktorisera en blobuppladdningsåtgärd, men du har möjlighet att ändra den här inställningen när du laddar upp en blob.

Behörigheter som krävs för åtkomst till blobdata

Beroende på hur du vill ge åtkomst till blobdata i Azure Portal behöver du specifika behörigheter. I de flesta fall tillhandahålls dessa behörigheter via rollbaserad åtkomstkontroll i Azure (Azure RBAC). Mer information om Azure RBAC finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?.

Använda åtkomstnyckeln för kontot

För att komma åt blobdata med åtkomstnyckeln för kontot måste du ha tilldelats en Azure-roll som innehåller Azure RBAC-åtgärden Microsoft.Storage/storageAccounts/listkeys/action. Den här Azure-rollen kan vara en inbyggd eller anpassad roll. Inbyggda roller som har stöd för Microsoft.Storage/storageAccounts/listkeys/action omfattar följande, för minst till störst behörighet:

När du försöker komma åt blobdata i Azure Portal kontrollerar portalen först om du har tilldelats en roll med Microsoft.Storage/storageAccounts/listkeys/action. Om du har tilldelats en roll med den här åtgärden använder portalen kontonyckeln för åtkomst till blobdata. Om du inte har tilldelats en roll med den här åtgärden försöker portalen komma åt data med hjälp av ditt Azure AD-konto.

Viktigt

När ett lagringskonto är låst med ett Azure Resource Manager ReadOnly-lås tillåts inte åtgärden Listnycklar för det lagringskontot. Listnycklar är en POST-åtgärd och alla POST-åtgärder förhindras när ett ReadOnly-lås har konfigurerats för kontot. När kontot är låst med ett ReadOnly-lås måste användarna därför använda Azure AD-autentiseringsuppgifter för att få åtkomst till blobdata i portalen. Information om hur du kommer åt blobdata i portalen med Azure AD finns i Använda ditt Azure AD-konto.

Anteckning

Administratörsrollerna Tjänstadministratör och administratör Co-Administrator den klassiska prenumerationen innehåller motsvarigheten till rollen Azure Resource Manager ägare. Ägarrollen innehåller alla åtgärder, inklusive Microsoft.Storage/storageAccounts/listkeys/action, så att en användare med någon av dessa administrativa roller också kan komma åt blobdata med kontonyckeln. Mer information finns i Administratörsroller för klassiska prenumerationer, Azure-roller och Administratörsroller för Azure AD.

Använda ditt Azure AD-konto

Om du vill komma åt blobdata Azure Portal med ditt Azure AD-konto måste båda följande instruktioner vara sanna för dig:

  • Du har tilldelats antingen en inbyggd eller anpassad roll som ger åtkomst till blobdata.
  • Du har minst tilldelats Azure Resource Manager rollen Läsare till lagringskontots nivå eller högre. Rollen Läsare ger de mest begränsade behörigheterna, men en annan Azure Resource Manager roll som ger åtkomst till lagringskontohanteringsresurser är också acceptabel.

Rollen Azure Resource Manager Läsare tillåter användare att visa lagringskontoresurser, men inte ändra dem. Den ger inte läsbehörighet till data i Azure Storage, utan endast till kontohanteringsresurser. Rollen Läsare är nödvändig så att användarna kan navigera till blobcontainrar i Azure Portal.

Information om de inbyggda roller som stöder åtkomst till blobdata finns i Auktorisera åtkomst till blobar med hjälp av Azure Active Directory.

Anpassade roller har stöd för olika kombinationer av samma behörigheter som tillhandahålls av de inbyggda rollerna. Mer information om hur du skapar anpassade Azure-roller finns i Anpassade roller i Azure och Förstå rolldefinitioner för Azure-resurser.

Anteckning

Förhandsversionen av Storage Explorer i Azure Portal inte att använda Azure AD-autentiseringsuppgifter för att visa och ändra blobdata. Storage Explorer i Azure Portal använder alltid kontonycklarna för att komma åt data. Om du Storage Explorer i Azure Portal måste du tilldelas en roll som innehåller Microsoft.Storage/storageAccounts/listkeys/action.

Om du vill visa blobbdata i portalen går du till Översikt för ditt lagringskonto och klickar på länkarna för Blobar . Du kan också gå till avsnittet Containrar i menyn.

Skärmbild som visar hur du navigerar till blobdata i Azure Portal

Fastställa den aktuella autentiseringsmetoden

När du navigerar till en container Azure Portal anger om du för närvarande använder åtkomstnyckeln för kontot eller ditt Azure AD-konto för autentisering.

Autentisera med åtkomstnyckeln för kontot

Om du autentiserar med åtkomstnyckeln för kontot visas åtkomstnyckeln angiven som autentiseringsmetod i portalen:

Skärmbild som visar användare som för närvarande använder containrar med kontonyckeln

Om du vill växla till ett Azure AD-konto klickar du på länken som är markerad i bilden. Om du har rätt behörigheter via de Azure-roller som du har tilldelats kan du fortsätta. Men om du saknar rätt behörigheter visas ett felmeddelande som liknar följande:

Fel som visas om Azure AD-kontot inte stöder åtkomst

Observera att inga blobar visas i listan om ditt Azure AD-konto saknar behörighet att visa dem. Klicka på länken Växla för att komma åt nyckeln för att använda åtkomstnyckeln för autentisering igen.

Autentisera med ditt Azure AD-konto

Om du autentiserar med ditt Azure AD-konto ser du Azure AD-användarkontot som angetts som autentiseringsmetod i portalen:

Skärmbild som visar användare som för närvarande har åtkomst till containrar med Azure AD-konto

Om du vill växla till kontots åtkomstnyckel klickar du på länken som är markerad i bilden. Om du har åtkomst till kontonyckeln kan du fortsätta. Men om du saknar åtkomst till kontonyckeln visas ett felmeddelande som liknar följande:

Fel som visas om du inte har åtkomst till kontonyckeln

Observera att inga blobar visas i listan om du inte har åtkomst till kontonycklarna. Klicka på länken Växla till Azure AD-användarkonto för att använda ditt Azure AD-konto för autentisering igen.

Ange hur en blobuppladdningsåtgärd ska auktoriseras

När du laddar upp en blob från Azure Portal kan du ange om du vill autentisera och auktorisera åtgärden med åtkomstnyckeln för kontot eller med dina autentiseringsuppgifter för Azure AD. Som standard använder portalen den aktuella autentiseringsmetoden, som du ser i Fastställa den aktuella autentiseringsmetoden.

Följ dessa steg om du vill ange hur du ska auktorisera en blobuppladdningsåtgärd:

  1. I Azure Portal navigerar du till containern där du vill ladda upp en blob.

  2. Välj knappen Ladda upp.

  3. Expandera avsnittet Avancerat för att visa avancerade egenskaper för bloben.

  4. I fältet Autentiseringstyp anger du om du vill auktorisera uppladdningsåtgärden med hjälp av ditt Azure AD-konto eller med åtkomstnyckeln för kontot, enligt följande bild:

    Skärmbild som visar hur du ändrar auktoriseringsmetoden vid blobuppladdning

Nästa steg